

研究人员发现,有人假借提供Palo Alto Networks的SSL VPN应用程序GlobalProtect为由,疑似意图借此在受害电脑植入恶意程序,然后进一步存取企业内部网络环境
此恶意程序运行的过程里,会检查受害电脑是否为沙箱环境,然后将系统信息回传C2。该恶意程序可接收攻击者的PowerShell脚本并运行,或是产生处理进程、上传或下载文件。为了回避侦测,攻击者在进行通信的命令及信息,皆通过AES算法处理。
值得留意的是,攻击者为恶意程序加入Beacon的功能,源自于资安人员进行渗透测试时会利用的漏洞利用检验工具Interactsh,而有可能减少被视为异常的情况,而且,黑客使用含有阿拉伯联合酋长国大型城市沙迦的网域名称sharjahconnect,使得目标用户更容易上当。